【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求,固定IP宽带和ADSL拨号宽带都很常见,这里介绍两种不同宽带连接IPsec的配置方法。
IPsec的作用
IPsec作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来。
IPsec通常是由防火墙与防火墙之间建立连接,但也可以通过远程的客户端与防火墙建立IPsec连接。
环境介绍
飞塔防火墙的IPsec有两种模式,默认的是接口模式,也就是需要一条路由二条策略的那种,还有一种是策略模式,不需要路由,只需要一条策略就可以了,配置相对来说比较简单,这次我们看看策略模式怎么配置IPsec。
① 选择菜单【系统管理】-【配置】-【特性】,这里有一些配置的开关,只有打开后功能选项才会出现。
② 向下翻页,点击【显示更多】按钮。
③ 选择打开基于策略的IPsec选项,点击【应用】按钮。
④ 这样在新建隧道时就可以切换接口模式和策略模式了(不选择接口模式即为策略模式)。
配置 IPsec 隧道
为了能够更好的理解两端IPsec设置的区别,我们将两边的设置放在一起介绍。
① 选择菜单 【虚拟专网】-【IPsec】-【 隧道】,点击 Create New 新建一条隧道。
② 给隧道取个用户名,建议使用地名缩写加设备缩写,两地之间用减号连接,这样可以比较直观的知道VPN的方向,选择无模板方式。
③ FortiGate 90D 与 FortiGate 60D VPN隧道对比。
(1) 此项如果没有显示,则默认为接口模式,需要在菜单【系统管理】-【配置】-【 特性】里打开基于策略的IPsec功能才可以看到,这里使用策略模式,所以取消打钩 ;
(2) 这里90D具有固定IP,因此对方远程网关选择的是拨号网络,也就是非固定IP地址,而60D的远程网关为90D的固定IP,这样即使60D每次IP不同,但由于是60D发起到对方固定IP,所以每次仍可以连通。
(3) 预共享密钥为自定义,要求两边必须相同;
(4) 由于都是动态IP,所以模式选择aggressive;
(5) 阶段一的加密可以为单层或多层,加密越多反应越慢,这里只保留一层加密,两边设置必须相同;
(6) 同样阶段一的Diffire-Hellman也只保留了一个选项;
(7) 输入对应的本地子网与对方子网的IP地址范围;
(8) 阶段二的加密同样可以为单层或多层,加密越多反应越慢,这里只保留一层加密,两边设置必须相同;
(9) 同样阶段二的Diffire-Hellman也只保留了一个选项。
(10) 自动密钥保持存活选项打钩。
配置策略
IPsec策略模式需要手动建立一条策略。
① 选择菜单【策略&对象】-【策略】-【IPv4】,点击 Create New 新建一条策略;
② FortiGate 90D 与 FortiGate 60D 策略对比:
(1) 流入接口选择内网口;
(2) 源地址为当前设备的内网地址范围,下拉选项里没有的情况下可以新建立一个地址对象;
(3) 流出接口选择外网口;
(4) 目的地址为需要访问设备的地址范围,下拉选项里没有的情况下可以新建立一个地址对象;
(5) 服务选择所有,也可以根据实际情况选择允许访问的服务,例如Web服务、文件服务等;
(6) 动作选择IPsec;
(7) 因为前面已经建立了VPN隧道,所以VPN隧道选择使用现有;
(8) 下拉选择建立好了的VPN隧道,如果是接口模式而非策略模式,这个下拉选项是灰色不可操作;
(9) 允许从远端站点发起流量,这个选项要打钩。
修改策略顺序
因为已经有了一条相同流入、流出接口的上网策略,再加上VPN策略,这个时候策略的顺序就很重要了,因为策略是按顺序是从上往下执行的。
① 新建立的策略默认排列在最下层,需要将策略移到顶部,优先执行。
② 鼠标移到策略最左边的序号上,光标会变成十字箭头,按住鼠标拖动,即可更改策略顺序。
启动 IPsec
IPsec建成后需要启动连接。
① 选择菜单【虚拟专网】-【监视器】-【IPsec 监视器】,状态为断开,鼠标在 VPN 上点击右键,弹出子菜单,点击启用。
② 当 IPsec 监视器中的状态显示为绿色向上箭头时,表明已经连接成功。
塔技术-老梅子 QQ:57389522